Wikedir

WIKEDIR gusano/backdoor de Correo Peer to Peer con BOT de IRC controla sistemas en forma remota, etc.

W32/Wikedir@mm

Wikedir destructivo gusano/backdoor reportado el 18 de Octubre del 2006, que se propaga en mensajes de Correo con asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Su archivo anexado contiene una Backdoor de control remoto.

Se copia a las carpetas de descarga de varios sistemas de compartimiento de archivos Peer to Peer.

Se conecta a un servidor IRC (Internet Relay Chat) cifrado uniéndose a un canal del Chat controlado por un BOT de IRC, desde el cual recibirá instrucciones y comandos en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 36 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano extrae los buzones de correo de la Libreta de Direcciones de Windows o de la carpeta temporal de archivos de Internet o de archivos de las siguientes extensiones:

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas usando la técnica Spoofing :

Asunto, aleatoriamente uno de los siguientes:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Contenido, uno de los siguientes:

[Vacío]
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Anexado, uno de estos nombres:

document.zip
readme.zip
doc.zip
text.zip
file.zip
data.zip
test.zip
message.zip
body.zip

El archivo .ZIP al desempaquetarse libera un archivo con una segunda extensión, siendo cualquier de las siguientes:

.pif
scr
.exe
.cmd
.bat

Al activarse crea el mutex "xXxWkDBotxXx" para evitar infectar un sistema más de una vez.

El archivo infectado contiene un Backdoor identificado como EvilBot

Luego se copia a la carpeta %Windir% como rundIl.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runner" = "%Windir%\rundIl.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, el gusano se copia a la carpeta de descarga de cualquiera de las redes de compartimiento de archivos Peer to Peer, que se encontrasen instaladas, KaZaa, eDonkey, iMesh y Limeware, con los siguientes archivos que aleatoriamente tienen las extensiones bat, pif, scr, o exe:

winamp6
icq2006-final
activation_crack
strip-girl-3.0
dcom_patch
rootkitXP
office_crack
nuke2006
RealPlayerv10.xx_crack
lcc-win32_update
notepad++
Opera8
TaskCatcher
ZoneAlarmPro6.xx_Crack
KAV2006_Crack
MSN7.0Loader
MSN7.0UniversalPatch
YahooMessenger_Loader
NortonAV2006_Crack
DAP7.4.x.x_crack
BritneySpears_SoSexy
JenniferLopez_Film_Sexy_Enough
Angilina_Jolie_Sucks_a_Dick
DarkAngel_Lady_get_fucked_so_hardly
LimeWire_speed++
Outlook_hotmail+_fix
Alcohol_120%%_patch

se copia también a la carpeta de descarga de la WarezP2P con los nombres:

Mariah_Carey_showering_in_bathroom.com
Britney_Spears_sucks_someones_dick.scr
Madonna_the_most_sexiest_girl_in_the_world.com
nice_big_asshole_fuck_Jennifer_Lopez.scr

Actuando como Backdoor a través de un puerto TCP aleatorio que se encuentre abierto y disponible se conecta a un servidor IRC (Internet Relay Chat) cifrado y se une a un canal de Chat controlado por un BOT de IRC, desde el cual podrá ejecutar comandos nocivos, acciones arbitrarias y controlar los sistemas infectados en forma remota.

PER ANTIVIRUS® versiones 9.8 y 9.9 con registro de virus al 18 de Octubre del 2006 detectan y eliminan este gusano/backdoor.